Ce n’est un secret pour personne, les derniers mois ont été plutôt révélateurs d’une certaine insécurité dans la DeFi (finance décentralisée) avec des hack à répétition dont certains montants sont colossaux. C’est de ce constat que le FBI à communiqué afin d’avertir les investisseurs.
Sommaire :
- Mise en garde du FBI contre les dangers de la DeFi
- Un constat alarmant autour des failles dans la DeFi
- Les recommandations du Federal Bureau of Investigation pour limiter les risques
Mise en garde du FBI contre les dangers de la DeFi
C’est dans un tweet que le FBI avertit les investisseurs que les cybercriminels exploitent de plus en plus les vulnérabilités des plateformes de finance décentralisée (DeFi).
Le but est bien entendu de subtiliser les crypto-monnaies des utilisateurs, faisant perdre de l’argent aux investisseurs. Pour cela, les cybercriminels vont exploiter les vulnérabilités dans les contrats intelligents régissant les plateformes DeFi.
Ces vulnérabilités sont introduites (volontairement ou non) par les développeurs des différents projets de l’écosystème. Une véritable faiblesse car, même si des blockchains comme Ethereum sont robustes, ce genre de faille reste incontrôlable.
Le FBI encourage également les investisseurs qui soupçonnent des hackers d’avoir volé leurs crypto-monnaie à les contacter. L’objectif de cette démarche vise à essayer de suivre les mouvements des fonds et pourquoi pas, de les récupérer.
Un constat alarmant autour des failles dans la DeFi
Les cybercriminels exploitent de plus en plus les vulnérabilités des smart contracts régissant les plateformes DeFi. Elles sont nombreuses et permettent de voler des crypto-monnaies, faisant perdre de l’argent aux investisseurs.
Un contrat intelligent est un contrat auto-exécutoire dont les termes de l’accord entre l’acheteur et le vendeur sont écrits directement dans des lignes de code qui existent à travers un réseau blockchain distribué et décentralisé. Les cybercriminels cherchent à tirer parti de l’intérêt accru des investisseurs pour les crypto-monnaies, ainsi que de la complexité des fonctionnalités inter-chaînes et de la nature open source des plateformes DeFi.
Entre janvier et mars 2022, les cybercriminels ont volé 1,3 milliard de dollars en crypto-monnaies. Sur ces 1.3 milliards, 97 % provenaient des plateformes DeFi, selon la société américaine d’analyse blockchain Chainalysis. Il s’agit d’une augmentation par rapport à 72 % en 2021 et 30 % en 2020.
En parallèle, le FBI a observé que les pirates fraudaient les plateformes DeFi en :
- Utilisant le principe des flash loans (prêt instantané) qui vont déclencher des vulnérabilités dans les contrats intelligents.
- Exploitant des vulnérabilités de vérification de signature dans les protocoles de bridge comme avec Nomad récemment. Ces protocoles permettent d’envoyer de la crypto-monnaie d’une blockchain à une autre.
- En manipulant les paires de prix de crypto-monnaies et l’exploitation de certaines vulnérabilités via les Oracles Blockchain
Cela représente la majeure partie des piratages, malgré que beaucoup d’autres formes de piratages comme les rug pull aient lieu.
Les recommandations du Federal Bureau of Investigation pour limiter les risques
Limiter les risques côté utilisateur
Pour sensibiliser et prévenir de ce genre de risque, le FBI recommande aux investisseurs de prendre les précautions suivantes :
- Faire des recherches sur les plateformes, protocoles et contrats intelligents DeFi avant d’investir. Il faut être conscient des risques spécifiques et élevés liés aux investissements DeFi.
- S’assurer que la plateforme d’investissement DeFi a effectué un ou plusieurs audits de code réalisés par des auditeurs indépendants. Un audit de code implique généralement un examen et une analyse approfondis du code sous-jacent de la plateforme pour identifier les vulnérabilités ou les faiblesses du code qui pourraient avoir un impact négatif sur les performances de la plateforme.
- Faites attention aux pools d’investissement DeFi avec des délais extrêmement limités pour adhérer et le déploiement rapide de contrats intelligents, en particulier sans l’audit de code recommandé.
- Soyez conscient du risque potentiel posé par les solutions crowdsourcées d’identification et de correction des vulnérabilités. Les dépôts de code open-source permettent un accès à toutes les personnes, y compris ceux qui ont des intentions néfastes.
En cas de doute, vous pouvez demander conseil à un conseiller financier agréé ou l’avis de personnes expérimentées dans le domaine.
Il faut également souligner qu’un audit n’est en aucun cas une valeur sûre. Cela permet simplement de démontrer qu’un code a été analysé par un groupe de personnes qualifiées. De nombreux projets ont été piratés même avec un audit du code source.
Des recommandation pour les plateformes DeFi
Du côté des plateformes DeFi, le FBI fait également des recommandations :
- Instituer des analyses en temps réel, une surveillance et des tests rigoureux du code afin d’identifier plus rapidement les vulnérabilités et de répondre aux indicateurs d’activités suspectes.
- Élaborer et mettre en œuvre un plan de réponse aux incidents qui prévoit d’alerter les investisseurs lorsque l’exploitation de contrats intelligents, des vulnérabilités ou d’autres activités suspectes sont détectées.
Ce n’est probablement pas une surprise, mais gardez en tête que les investissements en général et encore plus ceux liés aux actifs-numériques comportent des risques. Il est donc important de toujours prendre vos propres décisions et de faire vos propres recherches. Malheureusement, une certaine insécurité règne sur l’écosystème des crypto-monnaies et il est possible de tout perdre du jour au lendemain, soyez prudent.
Depuis 2017, je ne cesse d'explorer l'univers du Bitcoin, de la blockchain des crypto monnaies, des NFT et plus récemment, celui du Web3. Après avoir fondé Au Coin du Bloc en 2021, je met à disposition mes connaissances et tente de vulgariser les aspects obscurs pour rendre abordable et compréhensible cet univers naissant dans lequel je crois fermement.